Concedendo privilégios de administrador de domínio a uma conta de usuário entre florestas?

Alguém sabe de uma maneira de [efetivamente] ter um usuário ou grupo em uma floresta adquirir os privilégios do grupo Admin do domínio em outra floresta?

A abordagem óbvia de adicionar Domain Admins@OneForest em Domain Admins@OtherForest não é uma opção, porque o grupo Admins. do Domínio é um grupo Global (e, portanto, não pode ter membros de outras florestas, devido ao escopo de grupos globais ).

Você pode adicionar o Domain Admins@OneForest a um grupo local de domínio em OtherForest , mas não pode adicionar um grupo local de domínio como membro de um grupo Global (ou Universal), o que parece resultar em algo de beco sem saída usando essa abordagem para o problema.

Me deparei com uma solução parcial (que, depois de digitada, vou colocar como resposta para resolver a questão), o problema é que ela fornece direitos administrativos em computadores de domínio, mas não o domínio em si - por exemplo , não permite que a conta entre florestas edite os GPOs.

A outra abordagem que considerei e basicamente não tive sorte em pesquisar é replicar / clonar / duplicar o grupo Admins. do Domínio (mas como um grupo local de domínio, para que ele possa aceitar membros de outro domínio), mas eu Não consigo localizar um recurso sobre quais permissões esse grupo clonado precisaria e para quais recursos. Vendo como não é uma tarefa trivial determinar quais permissões um determinado grupo do Active Directory tem , eu esperava que houvesse ser alguma documentação da Microsoft sobre quais permissões os grupos internos e padrão têm, mas tudo que eu pode encontrar as descrições de suas permissões , o que não me faz bem em tentar configurar outro grupo para corresponder.

longa pergunta, alguém sabe como aplicar privilégios de administrador de domínio em uma floresta a uma conta de outra floresta?